我刚刚在服务器上执行fail2ban以进行testing。 我有一个BLACKLIST链,它阻止了一大堆我不希望到达服务器的CIDR掩码。 当fail2ban被bruteforce攻击触发时,它会正确地添加有问题的IP地址,但是它会刷新我的BLACkLIST链,我需要保持完整。 任何想法为什么发生这种情况,我怎么能坚持BLACKLIST链?
在我的日志里,我经常看到像这样丢弃的ips: > Oct 30 17:32:24 IPTables Dropped: IN=eth0 OUT= > MAC=04:01:2b:bd:b0:01:4c:96:14:ff:df:f0:08:00 SRC=62.210.94.116 > DST=128.199.xxx.xxx LEN=40 TOS=0x00 PREC=0x00 TTL=244 ID=45212 > PROTO=TCP SPT=51266 DPT=5900 WINDOW=1024 RES=0x00 SYN URGP=0 > > Oct 30 17:29:57 Debian kernel: [231590.140175] IPTables Dropped: > IN=eth0 OUT= MAC=04:01:2b:bd:b0:01:4c:96:14:ff:ff:f0:08:00 > SRC=69.30.240.90 DST=128.199.xxx.xxx LEN=40 TOS=0x00 PREC=0x00 TTL=245 > ID=12842 DF PROTO=TCP SPT=18534 DPT=8061 WINDOW=512 […]
我对服务器相当陌生。 我正在尝试在debian上运行shoutcast服务器。 Shoutcast运行在8000的默认端口。我的问题是访问xxx.xxx.xx.xxx:8000时不会加载。 当我通过SSHlogin,并创build一个隧道到我的本地机器,它使用本地主机:8000工作得很好。 在我的iptables中,我添加了以下行: -A INPUT -p tcp –match multiport –dports 8000:9999 -j ACCEPT 前几天我安装了fail2ban。 昨晚我使用下面的方式卸载了fail2ban: apt-get purge fail2ban 这样做后,它开始工作。 现在,我重新安装了fail2ban,并正在寻找一种方法来configuration它忽略这些端口。 再次,我对fail2ban一无所知,并正在学习如何使用它。 没有得到它的工作,我感到沮丧,并试图再次卸载fail2ban。 这一次我使用了这个命令: apt-get remove fail2ban 我知道第一个清除所有的configuration,并恢复iptables,所以我select了这一个。 我错误地运行了第二个命令,而不是运行清除。 我从那以后重新安装了fail2ban,并且再次运行purge命令,希望它能清理和恢复所有的东西。 我仍然没有外部通道,不得不build立一个隧道。 我甚至删除了iptables文件,并重新启动我的服务器。 运用 iptables -L 表明我只有默认值接受一切。 我终于在这里不知所措,不知道还有什么要检查。 我只是想能够访问xx.xxx.xx.xxx:8000到xx.xxx.xx.xxx:9999。 Results of: iptables -L -n -v Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes […]
我正在尝试使用iptables在同一个AWS EC2 Ubuntu 14.04实例上将端口从端口25转发到端口2025。 我正在使用端口2025收到使用Alfresco的收入电子邮件。 我采取的第一步是使用AWS控制台打开安全组中INBOUND通信的端口25。 接下来,我使用新的EC2 Ubuntu实例按照以下步骤进行操作。 我的理解是,第一个命令允许入站stream量到端口25.第二个命令然后转发stream量从端口25到端口2025,然后最后一步保存(但不保留设置)。 sudo iptables -A INPUT -p tcp –dport 25 -j ACCEPT sudo iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 25 -j REDIRECT –to-port 2025 sudo iptables-save 我已经确认,Alfresco正在使用以下命令监听端口2025和iptable设置: bitnami@ip-172-30-0-000:~$ netstat -an | grep 25 tcp6 0 0 :::2025 :::* LISTEN bitnami@ip-172-30-0-000:~$ sudo iptables -t nat […]
我已经在我的Archlinux服务器上安装了OpenVPN,并修改了我的iptable规则,允许端口1194上的传入stream量转发到tun0接口。 当我禁用/停止iptables时,OpenVPN客户端连接到服务器。 但是,启用iptables时,客户端无法连接到服务器。 客户端读取:“ 等待服务器响应 ”。 我的iptable rules : #!/bin/bash ## Flush all current rules from iptables iptables -F iptables -t nat -F ## Set default policies for INPUT, FORWARD and OUTPUT chains iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P […]
我试图testingiptables用于NAT的CPU数量。 说“netfilter内核模块”使用的CPU数量可能会更准确。 我采取的方法是试图剥离所有用户空间进程的系统,运行stream,并检查Load average最高。 在这种情况下,负载平均值相当低,就好像处理器不受分组路由的影响一样。 然而,在读了一下关于什么平均负载意味着( 这里 ),它似乎并不代表CPU利用率,而是处理队列的长度。 从我目前的理解来看,内核模块的执行不被视为进程,这就是为什么它永远不会被列在进程队列中。 这是否意味着通过内核代码检测CPU超载的唯一方法是使用用户空间代码运行它并查看由于没有获取处理器时间而导致的用户空间代码失败? 一个简单的例子来制定这个问题。 如果有一个内核代码有一个“忙等待”的bug,你会如何检测到它是过度使用CPU的内核?
我有一对在主机上运行的docker容器,这些容器一起使我的应用程序完成。 因此,对于我的应用程序的每个迭代/实例,都需要一对Docker容器才能运行。 到目前为止,我正在使用–link参数,同时运行第二个容器来链接第一个容器,并从主机文件获取第一个容器的IP以编程方式使用它。 现在,我需要为第二个Docker容器设置透明代理。 因此第二个容器的所有http(端口80)stream量都应该经过第一个容器的端口8080。 第一个容器IP: 172.17.0.4 (代理服务在端口8080上运行)。 第二个容器IP: 172.17.0.6 (有浏览器之类的客户端工具)。 我想将172.17.0.6的所有httpstream量(端口80 )转发到172.17.0.4的8080端口。 即)到172.17.0.4 <—> 8080的172.17.0.6的80 我已经尝试添加上述configuration的第二个容器内的iptables规则。 但他们都没有工作。 ~# sudo iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 80 -j DNAT –to-destination 172.17.0.4:8080 不起作用。 ~# sudo iptables -t nat -A PREROUTING -p tcp –dport 80 -j DNAT –to-destination 172.17.0.4:8080 不起作用。 ~# sudo iptables […]
我在CentOS服务器上有一个以太网卡。 已configuration: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000 link/ether 40:f2:e9:9b:b7:bb brd ff:ff:ff:ff:ff:ff inet 192.168.1.1/24 brd 10.54.19.255 scope global eth1 inet 192.168.1.2/24 scope global secondary eth1 inet6 fe80::42f2:e9ff:fe9b:b7bb/64 scope link 192.168.1.2是一个VIP(虚拟IP由keepalived创build)。 我想通过虚拟IP(192.168.1.2)所有stream量和出包必须包括VIP不是真正的IP(192.168.1.1)。 我用iptables,但它不工作:出包仍然包括真正的IP而不是VIP。 这里是iptables的命令: iptables -t nat -I POSTROUTING -d xxxx -j SNAT –to 192.168.1.2
我试图通过OpenVPN将两个networking连接在一起。 网关可以互相ping通,但无法访问他们join的networking上的其他计算机。 日志不显示任何错误,并build立连接。 我在这里错过了什么? 似乎很多人都有这个问题的各种原因,但经过50 +尝试,我放弃了,并决定要求:) networking1: dev tun port 1194 ifconfig 10.8.222.40 10.8.222.41 route 10.2.1.0 255.255.255.0 vpn_gateway comp-lzo keepalive 10 60 persist-key persist-tun user nobody group nobody secret /etc/openvpn/static.key ip route default via 10.0.1.1 dev eth0 10.0.1.0/27 dev eth0 proto kernel scope link src 10.0.1.9 10.2.1.0/24 via 10.8.222.41 dev tun0 10.3.0.0/24 via 10.3.0.2 dev […]
我已经定义了以下规则: -A POSTROUTING -j SNAT –to-source [publicip] -A POSTROUTING -j SNAT -d 192.168.0.0/24 –to-source 192.168.0.6 基本上,我只想要专网通过192.168.0.6。 但是,只有一个networking工作。 有了这个configuration,只有公共networking的作品。 有没有办法实现我想要的?